Tandoor Recipes — приложение для управления рецептами, планирования блюд и составления списков покупок. До версии 2.6.4 конечная точка PUT /api/recipe/batch_update/ в Tandoor Recipes позволяла любому авторизованному пользователю в пространстве изменять любой рецепт в этом пространстве, включая рецепты, помеченные другими пользователями как частные. Это обходит все проверки авторизации на уровне объекта, применяемые на стандартных конечных точках с одним рецептом (PUT /api/recipe/{id}/), позволяя принудительно раскрывать частные рецепты, несанкционированное самопредоставление доступа через общий список и подделку метаданных.
Эта уязвимость исправлена в версии 2.6.4.
Показать оригинальное описание (EN)
Tandoor Recipes is an application for managing recipes, planning meals, and building shopping lists. Prior to 2.6.4, the PUT /api/recipe/batch_update/ endpoint in Tandoor Recipes allows any authenticated user within a Space to modify any recipe in that Space, including recipes marked as private by other users. This bypasses all object-level authorization checks enforced on standard single-recipe endpoints (PUT /api/recipe/{id}/), enabling forced exposure of private recipes, unauthorized self-grant of access via the shared list, and metadata tampering. This vulnerability is fixed in 2.6.4.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Tandoor Recipes
cpe:2.3:a:tandoor:recipes:*:*:*:*:*:*:*:*
|
— |
2.6.4
|